Sun. Sep 25th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    pt flag
    ru flag
    es flag

    Opmerking redacteur: De recente ransomware aanval op juridische diensten en eDiscovery provider Epiq heeft het bewustzijn van cyberbeveiliging in de gegevensontdekking en juridische ontdekking professionele gemeenschap versneld. De erkende ransomware-aanval lijkt te zijn geïnitieerd met een TrickBot infectie die de implementatie van Ryuk-ransomware mogelijk maakte. De volgende uittreksels delen informatie en inzichten die nuttig kunnen zijn voor advocatenkantoren, bedrijven en dienstverleners in het eDiscovery ecosysteem die meer willen weten over ransomware, de Ryuk-ransomware-familie, en om het risico van ransomware-aanvallen te verminderen.

    Een uittreksel uit de Amerikaanse overheid Interagency Publicatie op Ransomware

    Ransomware: Wat het is en wat te doen

    Wat is Ransomware?

    Ransomware is een soort kwaadaardige software die cyberactoren gebruiken om toegang tot systemen of gegevens te weigeren. De kwaadaardige cyberactor houdt systemen of gegevens gegijzeld totdat het losgeld is betaald. Na de eerste infectie probeert de ransomware zich te verspreiden naar gedeelde opslagstations en andere toegankelijke systemen. Als niet aan de eisen wordt voldaan, blijven het systeem of de versleutelde gegevens niet beschikbaar of kunnen gegevens worden verwijderd.

    Hoe bescherm ik mijn netwerken?

    Een inzet voor cyberhygiëne en best practices is cruciaal voor de bescherming van uw netwerken. Hier zijn enkele vragen die u wellicht aan uw organisatie wilt stellen om ransomware-aanvallen te voorkomen:

    Back-ups: maken we een back-up van alle kritieke informatie? Worden de back-ups offline opgeslagen? Hebben we ons vermogen getest om terug te keren naar back-ups tijdens een incident?

    Risicoanalyse: Hebben we een cybersecurity risicoanalyse van de organisatie uitgevoerd?

    Personeelstraining: Hebben we personeel getraind op het gebied van best practices voor cybersecurity?

    Kwetsbaarheid Patching: Hebben we de juiste patching van bekende systeemkwetsbaarheden geïmplementeerd?

    Toepassing Whitelisting: Staan we alleen goedgekeurde programma's toe om op onze netwerken te draaien?

    Incident Response: Hebben we een incident response plan en hebben we dat uitgeoefend?

    Bedrijfscontinuïteit: Kunnen we bedrijfsactiviteiten ondersteunen zonder toegang tot bepaalde systemen? Hoe lang? Hebben we dit getest?

    Penetratie testen: Hebben we geprobeerd om onze eigen systemen te hacken om de veiligheid van onze systemen en ons vermogen om te verdedigen tegen aanvallen te testen?

    Hoe reageer ik op Ransomeware?

    Implementeer uw respons op beveiligingsincidenten en bedrijfscontinuïteitsplan. Het kan tijd duren voordat de IT-professionals van uw organisatie de dreiging van ransomware voor uw systemen isoleren en verwijderen en gegevens en normale bewerkingen herstellen. In de tussentijd moet u stappen ondernemen om de essentiële functies van uw organisatie te behouden volgens uw bedrijfscontinuïteitsplan. Organisaties moeten back-upplannen, rampenherstelplannen en bedrijfscontinuïteitsprocedures onderhouden en regelmatig testen.

    Neem onmiddellijk contact op met de politie. We raden u aan om onmiddellijk contact op te nemen met een lokale FBI of USSS veldkantoor om een ransomware-evenement te melden en om hulp te vragen. Er zijn ernstige risico's om te overwegen voordat u het losgeld betaalt. We moedigen niet aan om losgeld te betalen. We begrijpen dat wanneer bedrijven geconfronteerd worden met een onvermogen om te functioneren, leidinggevenden alle opties zullen evalueren om hun aandeelhouders, werknemers en klanten te beschermen. Houd rekening met de volgende risico's als u deze keuze overweegt:

    Het betalen van losgeld garandeert niet dat een organisatie weer toegang krijgt tot hun gegevens; sommige personen of organisaties hebben zelfs nooit ontcijferingssleutels gekregen nadat ze een losgeld hadden betaald.

    Sommige slachtoffers die de vraag betaalden, hebben gemeld dat ze opnieuw het doelwit zijn van cyberactoren.

    Na het betalen van het oorspronkelijk gevraagde losgeld, zijn sommige slachtoffers gevraagd om meer te betalen om de beloofde decoderingssleutel te krijgen.

    Betalen kan per ongeluk dit criminele bedrijfsmodell aanmoedigen.

    Lees het volledige document op Ransomware: Wat het is en wat te doen over het (PDF)

    Een uittreksel uit een artikel van Gabriela Nicolao en Luciano Martins

    Virus Bulletin 2019 Paper: Shinigami's wraak: de lange staart van de Ryuk Malware

    Abstract

    Ryuk is een ransomware-familie die, in tegenstelling tot reguliere ransomware, gebonden is aan gerichte campagnes waarbij afpersing dagen of weken na een eerste infectie kan plaatsvinden. Ryuk werd voor het eerst waargenomen in augustus 2018 en blijft actief vanaf juli 2019.

    Onder de slachtoffers vinden we bedrijven uit verschillende industrieën, waaronder kranten, restaurants, openbare instellingen en een cloudserviceprovider. Ryuk is gezien als een tweede fase payload geleverd in campagnes waarbij Emotet en Trickbot betrokken zijn, twee van de meest wijdverspreide bedreigingen die momenteel worden gebruikt in malware campagnes.

    Ryuk draagt een sterke code gelijkenis met de Hermes ransomware en werd waarschijnlijk ontwikkeld en mogelijk verspreid door dezelfde bedreiging acteur (s). De code-overeenkomsten gevonden tussen Ryuk en Hermes — een lading die naar verluidt gekoppeld was aan Noord-Koreaanse dreigingsactoren — leidden analisten aanvankelijk om te vermoeden dat Ryuk was aangesloten bij de beruchte Lazarus APT (Advance Persistent Threat) groep. Echter, die attributie werd weggegooid op basis van bewijs dat werd verzameld op een donker webforum en de malware werd later toegeschreven aan Russisch sprekende acteurs mogelijk bekend als Grim Spider.

    Ryuk Chronologie

    Ryuk is een crypto-ransomware die voor het eerst werd genoemd in een Tweet op 17 augustus 2018. Het gebruikte 'Ryukreadme.txt' als losgeldbriefje, vandaar de naam.Ryuk is ook de naam van een fictief personage bekend als Shinigami (God of Death) in een manga en anime serie genaamd Death Note.

    Op het moment dat Ryuk werd voor het eerst gemeld, het had al geraakt drie bedrijven in verschillende landen, en onderzoekers wezen erop dat Ryuk was gebaseerd op de beruchte Hermes ransomware broncode en dat het gebruikte hetzelfde losgeld note formaat als BitPaymer.

    De Hermes ransomware werd gebruikt door Lazarus, een Noord-Koreaanse gesponsorde dreigingsacteur groep actief sinds 2009. Als gevolg van de toewijzing van Hermes aan Lazarus, onderzoekers geloofden dat Ryuk ook verwant was aan Lazarus.

    Lees het volledige artikel op Shinigami's Revenge: The Long Tail of the Ryuk Malware

    Een uittreksel uit een artikel van Shyam Oza via Spanning

    Rjoek Ransomware

    In het najaar van 2018 werd een aangepaste versie van Hermes ransomware ontdekt: Ryuk. Zowel Hermes als Ryuk hebben vergelijkbare kenmerken. Ze identificeren en versleutelen netwerkapparaten samen met het verwijderen van schaduwkopieën die zijn opgeslagen op de eindpunten. Het enige verschil is hoe ze de encryptiesleutels maken. Terwijl Hermes een RSA en privésleutelpaar gebruikt, gebruikt Ryuk een tweede RSA publieke sleutel.

    Ryuk ransomware is lucratiever dan zijn voorganger. Het richt zich op grote organisaties en overheidsinstanties die uiteindelijk grote bedragen betalen. De waarheid is, zonder de grote uitbetalingen, het verwerken van Ryuk aanvallen is niet duurzaam. Het gaat om een hoge mate van handmatige processen (directe exploitatie, betalingsaanvragen afgehandeld via e-mail, enz.) en de aanvallers willen geen tijd verspillen als de ROI niet goed is.

    Hoe werkt Ryuk?

    Ryuk ransomware is niet het begin, maar het einde van een infectiecyclus. Het is ransomware dat stapsgewijs in vorm komt, en als het toeslaat, is het dodelijk.

    Lees het complete artikel op Ryuk Ransomware

    Een uittreksel uit een artikel van Lawrence Abrams

    Ryuk Ransomware aangevallen Epiq Global via TrickBot infectie

    De aanval van Epiq Global begon met een TrickBot infectie

    Vandaag heeft een bron in de cybersecurity industrie uitsluitend informatie gedeeld met BleepingComputer die licht werpt op hoe Epiq Global besmet raakte.

    In december 2019 raakte een computer op het netwerk van Epiq geïnfecteerd met de TrickBot malware.

    TrickBot wordt meestal geïnstalleerd door het Emotet Trojan, dat wordt verspreid via phishing e-mails.

    Zodra TrickBot is geïnstalleerd, zal het verzamelen van verschillende gegevens, waaronder wachtwoorden, bestanden en cookies, van een gecompromitteerde computer en zal dan proberen verspreid lateraal over een netwerk om meer gegevens te verzamelen.

    Wanneer u klaar bent met het verzamelen van gegevens op een netwerk, zal TrickBot een reverse shell openen voor de Ryuk operators.

    De Ryuk Actors zullen dan toegang hebben tot de geïnfecteerde computer en beginnen met het uitvoeren van verkenning van het netwerk. Nadat ze beheerdersreferenties hebben verkregen, zullen ze de ransomware implementeren op de apparaten van het netwerk met PowerShell Empire of PSExec.

    In het geval van Epiq Global werd Ryuk ingezet op hun netwerk op zaterdagochtend 29 februari 2020, toen de ransomware begonnen met het coderen van bestanden op geïnfecteerde computers.

    Terwijl Ryuk wordt beschouwd als een veilige ransomware zonder enige zwakke punten in de encryptie, Emsisoft's Brett Callow heeft BleepingComputer verteld dat er een kleine kans dat ze kunnen helpen herstellen van bestanden gecodeerd door de Ryuk ransomware.

    „Bedrijven die getroffen zijn door Ryuk moeten contact met ons opnemen. Er is een kleine - zeer kleine - kans dat we in staat zijn om hen te helpen hun gegevens te herstellen zonder het losgeld te hoeven betalen,” Callow vertelde BleepingComputer.com.

    Hoewel de kansen zijn zeer klein, als uw apparaten zijn gecodeerd door de Ryuk Ransomware het geen kwaad om te controleren met Emsisoft.

    BleepingComputer heeft contact met Epiq met verdere vragen over deze aanval, maar hebben nog niet gehoord op dit moment.

    Lees het complete artikel op Ryuk Ransomware Aangevallen Epiq Global Via TrickBot Infection

    Aanvullend lezen

    Een Epiq Ransomware aanval raakt Leader van juridische diensten

    Het kruispunt van internationaal recht en cyberoperaties: een interactieve cyberrechtentoolkit

    Bron: ComplexDiscovery

    Naar voren leunen? Het strategisch plan CISA 2023-2025

    The purpose of the CISA Strategic Plan is to communicate the...

    Voortdurende risicoverbetering? Q3 Cyber Round-Up van Cowbell Cyber

    According to Manu Singh, director of risk engineering at Cowbell, "Every...

    Een uitgebreide bron voor cyberontdekking? De DoD-beleidstabel voor cyberbeveiliging van CSIAC

    The Cyber Security and Information Systems Information Analysis Center (CSIAC) is...

    Snel draaiende cyberverzekering? Q2 Cyber Round-Up van Cowbell Cyber

    According to Isabelle Dumont, SVP of Marketing and Technology Partners at...

    Een onthullende reactie? Nuix reageert op ASX-verzoek om informatie

    The following investor news update from Nuix shares a written response...

    Verslagen onthullen? Nuix merkt persspeculatie op

    According to a September 9, 2022 market release from Nuix, the...

    HayStackID® neemt Business Intelligence Associates over

    According to HaystackID CEO Hal Brooks, “BIA is a leader in...

    Eén groot software- en cloudbedrijf? OpenText om microfocus te verwerven

    According to OpenText CEO & CTO Mark J. Barrenechea, “We are...

    Onderweg? 2022 eDiscovery Market Kinetics: vijf interessegebieden

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Vertrouw end op het proces? 2021 eDiscovery Processing Taak-, bestedings- en kostengegevens

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Het jaar in review? 2021 eDiscovery Review Taak-, uitgaven- en kostengegevenspunten

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Een blik op eDiscovery Collection in 2021: gegevenspunten voor taken, uitgaven en kosten

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Vijf geweldige artikelen over cyber-, data- en juridische ontdekkingen voor september 2022

    From privacy legislation and special masters to acquisitions and investigations, the...

    Vijf geweldige lezingen over cyber-, data- en juridische ontdekking voor augustus 2022

    From AI and Big Data challenges to intriguing financial and investment...

    Vijf geweldige lezingen over cyber-, data- en juridische ontdekking voor juli 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Vijf geweldige lezingen over cyber, data en juridische ontdekking voor juni 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Koelere temperaturen? Resultaten van de eDiscovery Business Confidence Survey in

    Since January 2016, 2,874 individual responses to twenty-eight quarterly eDiscovery Business...

    Verbuiging of doorbuiging? Een geaggregeerd overzicht van acht halfjaarlijkse prijsenquêtes voor eDiscovery

    Initiated in the winter of 2019 and conducted eight times with...

    Veranderende stromingen? Achttien observaties over het vertrouwen van bedrijven in eDiscovery in de zomer van 2022

    In the summer of 2022, 54.8% of survey respondents felt that...

    Uitdagende varianten? Problemen die de bedrijfsprestaties van eDiscovery beïnvloeden: een overzicht van de zomer 2022

    In the summer of 2022, 28.8% of respondents viewed increasing types...

    Nucleaire opties? Conflictbeoordelingen in Oekraïne op kaarten (17 - 21 september 2022)

    According to a recent update from the Institute for the Study...

    Massagraven en martelkamers? Conflictbeoordelingen in Oekraïne op kaarten (12 - 16 september 2022)

    According to a recent update from the Institute for the Study...

    Op de vlucht? Conflictbeoordelingen in Oekraïne in kaarten (7 - 11 september 2022)

    According to a recent update from the Institute for the Study...

    Tastbare afbraak? Conflictbeoordelingen in Oekraïne in kaarten (2 - 6 september 2022)

    According to a recent update from the Institute for the Study...